精华内容
下载资源
问答
  • 中间件漏洞之(IIS中间件
    千次阅读
    2020-01-26 16:16:51

    IIS服务简介:

    IIS是是internet infomaition services的缩写,意为互联网信息服务,是全球第三大网络服务器,其中第一是apache,第二是ngin。,iis是由微软公司提供的基于运行Microsoft windows的互联网基本服务。最初是windows nt版本的可选包,随后内置在windows200,windows xp professional和windows server 2003一起发行,但是在windows xp home版本上并没有iis。iis是一种web(网页)服务组件,其中包括web服务器、ftp服务器、nntp服务器和smtp服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面,它使得在网络(包括互联网和局域网)上发布信息成为了意见很容易的事情/

    iis的安全脆弱性曾长时间呗业内诟病。一旦iis出现远程执行漏洞威胁将会非常严重,远程代码漏洞存在于http协议堆栈(http.sys)中。当http.sys未正确分析经特殊设计的http请求时会导致此漏洞。成功利用此漏洞的攻击者可以在系统账户的上下文中执行任意代码。可以导致iis服务器所在的机器蓝屏或读取其内存中的机密数据

    以上内容摘抄自百度百科:
    什么是IIS

    IIS常见漏洞类型:

    Put漏洞:

    漏洞成因:

    iis server 在web 服务扩展中开启了webdav,配置了可以写入的权限,造成任意文件上传。

    版本:iis6.0

    漏洞复现文章:

    漏洞修复:关闭webdav和写入的权限

    短文件名猜解:

    漏洞成因:

    iis短文件名机制,可以暴力猜解短文件名,访问构造的某个存在的短文件名,会返回404,访问构造的某个不存在的短文件名,会返回400

    漏洞复现文章:

    漏洞修复:

    1:升级.net farmwork

    2:修改注册表禁用短文件名功能

    3:cmd关闭NTFS 8.3文件格式支持

    4:将web文件夹的内容拷贝到另一个位置(详细内容待补充)

    该漏洞的局限性:

    1:该漏洞只能确定前6个字符,如果后面的字符太长、包含特殊字符、很难猜解;

    2:如果文件名本身太短(无短文件名)也是无法猜解的;

    3:如果文件名前6位带空格。8.3格式的短文件名会补进,和真实文件名不匹配;

    解析漏洞:

    漏洞成因:

    iis 6.0在处理含有特殊符号的文件路径时会出现逻辑错,从而造成文件解析漏洞,这一漏洞有两种完全不同的利用方式

    利用方式一(目录解析):新建特殊目录

    新建一个名为“test.asp”的目录,该目录中的任何文件都被当做asp程序执行,特殊符号是“/”:

    利用方式二(文件解析):上传特殊文件

    上传名为“test.asp;.jpg”

    iis7.5文件解析漏洞:

    URL中文件后缀是.php,便无论该文件是否存在,都直接交给php处理,而php有默认开启”cgi.fix_pathinfo“,会对文件进行”修理“,什么是”修理“,举个例子:当php遇到路径”/aaa.xxx/bbb.yyy“时,若”/aaa.xxx/bbb.yyy““不存在,则会去掉最后的”bbb.yyy“,然后判断”/aaa.xxx“是否存在,若存在,则把“/aaa.xxx”当做文件,若有文件test.jpg,访问时在其后加/.php,便可以把“test.jpg/.php”交给php处理,php修理文件路径得到“test.jpg”,该文件存在,便把该文件做为php程序执行。

    漏洞修复:

    1.对新建目录文件名进行过滤,不允许新建包含‘.’的文件。

    2.取消网站后台新建目录的功能,不允许新建目录。

    3.限制上传的脚本执行权限,不允许执行脚本。

    4.过滤.asp/xm.jpg,通过ISApi组件过滤。

    远程代码执行:

    漏洞成因:

    在iis6.0处理PROPFIND指令的时候,由于对url的长度没有进行有效的长度控制和检查,导致执行memcpy对虚拟路径进行构造的时候,英法栈溢出,从而导致远程代码执行

    漏洞复现:CVE-2017-7269 IIS6.0远程代码执行漏洞复现

    漏洞修复:

    1:关闭webdav服务

    2:使用相关的防护设备

    详细介绍:

    目前iis一共发行了12个版本。从iis1.0到iis.10.0版本,iis1.0-4.0已经基本退出市场,iis5.0-10.0是web市场主要使用的网络服务器,随着windows版本发布和不断的更新,iis自身的安全性也有了较大的提升,在2005-2018年期间,iis漏洞呈现逐年减少的趋势,同时也说明了iis漏洞poc公布的越来越少,漏洞挖掘的难度也在提升。

    目前iis7.5、iis8.5、iis10.0是目前全球使用最多的三款iis版本,分别对应的受影响漏洞数为12,4,2个

    其中拒绝服务,认证绕过漏洞,信息泄露,代码执行为主要的漏洞(6-10的主要漏洞)

    漏洞文章:iis各版本漏洞详解

    有问题和意见及时评论指出,同各位讨论修改以及学习!!!!

     

    更多相关内容
  • 中间件解析漏洞

    2022-03-25 16:45:31
    使用iis5.x-6.x版本的服务器,大多为windows server 2003,网站比较古老,开发语句一般为asp;该解析漏洞也只能解析asp文件,而不能解析aspx文件。 目录解析(6.0) 形式:www.xxx.com/xx.asp/xx.jpg 原理: 服务器默认...

    在这里插入图片描述

    IIS5.x-6.x 解析漏洞

    使用iis5.x-6.x版本的服务器,大多为windows server 2003,网站比较古老,开发语句一般为asp;该解析漏洞也只能解析asp文件,而不能解析aspx文件。
    目录解析(6.0)
    形式:www.xxx.com/xx.asp/xx.jpg
    原理: 服务器默认会把.asp,.asa目录下的文件都解析成asp文件。
    文件解析
    形式:www.xxx.com/xx.asp;.jpg
    原理:服务器默认不解析;号后面的内容,因此xx.asp;.jpg便被解析成asp文件了。
    解析文件类型
    IIS6.0 默认的可执行文件除了asp还包含这三种 :
    /test.asa
    /test.cer
    /test.cdx
    修复方案
    1.目前尚无微软官方的补丁,可以通过自己编写正则,阻止上传xx.asp;.jpg类型的文件名。
    2.做好权限设置,限制用户创建文件夹。

    目录解析漏洞
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    网站因为没有上传文件的功能,我们直接新建文件夹或文件
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    IIS6.0 默认的可执行文件除了asp还包含这三种 :
    111.asa
    111.cer
    111.cdx
    这三个文件夹命名也是和上面效果一样
    在这里插入图片描述

    文件解析漏洞
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    windows是可以这样命名的,但是解析只解析前面的

    apache解析漏洞

    漏洞原理
      Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。比如 test.php.owf.rar “.owf”和”.rar” 这两种后缀是apache不可识别解析,apache就会把oldboy.php.owf.rar解析成php。
    漏洞形式
    www.xxxx.xxx.com/test.php.php123
    其余配置问题导致漏洞
    (1)如果在 Apache 的 conf 里有这样一行配置 AddHandler php5-script .php 这时只要文件名里包含.php 即使文件名是 test2.php.jpg 也会以 php 来执行。
    (2)如果在 Apache 的 conf 里有这样一行配置 AddType application/x-httpd-php .jpg 即使扩展名是 jpg,一样能以 php 方式执行。
    修复方案
    1.apache配置文件,禁止.php.这样的文件执行,配置文件里面加入
    <Files ~ “.(php.|php3.)”>
    Order Allow,Deny
    Deny from all

    2.用伪静态能解决这个问题,重写类似.php.*这类文件,打开apache的httpd.conf找到LoadModule rewrite_module modules/mod_rewrite.so
    把#号去掉,重启apache,在网站根目录下建立.htaccess文件,代码如下:

    我们的phpstudy的apache没有这个漏洞所以换一个叫phpnow(PHPnow是Apache + PHP + MySQL 环境套件包)
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    Nginx解析漏洞

    漏洞原理
      Nginx默认是以CGI的方式支持PHP解析的,普遍的做法是在Nginx配置文件中通过正则匹配设置SCRIPT_FILENAME。当访问www.xx.com/phpinfo.jpg/1.php这个URL时,$fastcgi_script_name会被设置为“phpinfo.jpg/1.php”,然后构造成SCRIPT_FILENAME传递给PHP CGI,但是PHP为什么会接受这样的参数,并将phpinfo.jpg作为PHP文件解析呢?这就要说到fix_pathinfo这个选项了。 如果开启了这个选项,那么就会触发在PHP中的如下逻辑:
    PHP会认为SCRIPT_FILENAME是phpinfo.jpg,而1.php是PATH_INFO,所以就会将phpinfo.jpg作为PHP文件来解析了

    修复方案
    第一种:修改php.ini文件,将cgi.fix_pathinfo的值设置为0;
    第二种:在Nginx配置文件中添加以下代码:
    if ( $fastcgi_script_name ~ …*/.*php ) {
    return 403;
    } 这段代码意思就是遇到/.php就会返回403

    当安装完成后, php.ini里默认cgi.fix_pathinfo=1,对其进行访问的时候,在URL路径后添加.php后缀名会当做php文件进行解析,漏洞由此产生
    在这里插入图片描述

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    IIS7.5解析漏洞

    IIS7.5的漏洞与nginx的类似,都是由于php配置文件中,开启了cgi.fix_pathinfo,而这并不是nginx或者iis7.5本身的漏洞。
    https://www.xp.cn/a.php/182.html
    当安装完成后, php.ini里默认cgi.fix_pathinfo=1,对其进行访问的时候,在URL路径后添加.php后缀名会当做php文件进行解析,漏洞由此产生
    注:在进行实际的测试的时候,发现漏洞并没有产生,后来发现要设置FastCGI为关闭,该项好像是用来处理数据文件

    搭建iis7版本
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    还有一个老师补充的漏洞,如下
    在这里插入图片描述

    展开全文
  • 复现 Win 2003 + IIS 6.0 修复 关闭WebDAV 和 写权限 短文件名猜解 Windows 以 8.3 格式生成与 MS-DOS 兼容的(短)文件名,以允许基于 MS-DOS 或 16 位 Windows的程序访问这些文件。在cmd下输入"dir /x"即可看到短...

    目录

    PUT漏洞

    漏洞原理

    复现

    修复

    短文件名猜解

    漏洞原理

    IIS短文件名产生 

    复现

    短文件漏洞的局限性

    IIS短文件名扫描工具

    修复

    远程代码执行

    解析漏洞

    IIS 6.0

    基于文件名

    基于目录名

    IIS 7.0/7.5

    IIS PHP文件解析配置

    复现

     漏洞修复


    PUT漏洞

    漏洞原理

     IIS Server 在 Web 服务扩展中开启了 WebDAV之后,支持多种请求,配合写入权限,可造成任意文件写入。
    
     WebDav(Web-based Distributed Authoring and Versioning)是一种基于HTTP 1.1协议的通信协议,它扩展了HTTP协议,在GET、POST、HEAD等几个HTTP标准方法外添加了一些新的方法。
    
    

    复现

    Win 2003 + IIS 6.0

    修复

    关闭WebDAV 写权限

    短文件名猜解

    Windows 8.3 格式生成与 MS-DOS 兼容的(短)文件名,以允许基于 MS-DOS 16 Windows的程序访问这些文件。在cmd下输入"dir /x"即可看到短文件名的效果。

    漏洞原理

    IIS的短文件名机制,可以暴力猜解短文件名,访问构造的某个存在的短文件名,会返回404,访问构造的某个不存在的短文件名,返回400。

    IIS短文件名产生 

            1.当后缀小于4时,短文件名产生需要文件()名前缀字符长度大于等于9位。

            2.当后缀大于等于4时,文件名前缀字符长度即使为1,也会产生短文件名。

    目前IIS支持短文件名猜测的HTTP方法主要包括:DEBUGOPTIONSGETPOSTHEADTRACE六种。 IIS 8.0之后的版本只能通过OPTIONSTRACE方法被猜测成功。

    复现

    IIS8.0以下版本需要开启ASP.NET支持,IIS大于等于8.0版本,即使没有安装ASP.NET,通过OPTIONSTRACE方法也可以猜解成功。 以下通过开启IIS6.0 ASP.NET后进行复现。

    猜解格式:
    
    http://192.168.11.148/短文件名/.aspx   ->  短文件名格式:*~*

     当访问构造的某个存在的短文件名,会返回404

    当访问构造的某个不存在的短文件名,会返回400 

    短文件漏洞的局限性

            1.如果文件名本身太短也是无法猜解的。

            2.此漏洞只能确定前6个字符,如果后面的字符太长、包含特殊字符,很难猜解。

            3.如果文件名前6位带空格,8.3格式的短文件名会补进,和真实文件名不匹配。

            4.如果文件夹名前6位字符带点".",扫描程序会认为是文件而不是文件夹,最终出现误报。

            5.不支持中文文件名,包括中文文件和中文文件夹。一个中文相当于两个英文字符,故超过4个中文字会产生短文件名,但是IIS不支持中文猜测。

    IIS短文件名扫描工具

            https://github.com/irsdl/IIS-ShortName-Scanner

    修复

            1.CMD命令关闭NTFS 8.3文件格式的支持

                    Windows Server 2003: (1代表关闭,0代表开启)

                    关闭该功能:fsutil behavior set disable8dot3 1

                    Windows Server 2008 R2:

                    查询是否开启短文件名功能:fsutil 8dot3name query

                    关闭该功能:fsutil 8dot3name set 1

                    不同系统关闭命令稍有区别,该功能默认是开启的.

            2.从修改注册表关闭NTFS 8.3文件格式的支持

            快捷键Win+R打开命令窗口,输入regedit打开注册表窗口
            找到路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem,将其中的 NtfsDisable8dot3NameCreation这一项的值设为 11代表不创建短文件名格式。

            注:

            以上两种方式修改完成后,均需要重启系统生效。
            Note:此方法只能禁止NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除,需要重新复制才会消失。 :web文件夹的内容拷贝到另一个位置,如c:\wwwc:\ww,然后删除原文件夹,再重命名c:\wwc:\www

    远程代码执行

    HTTP.SYS远程代码执行漏洞(MS15-034)

    解析漏洞

    IIS 6.0

    测试代码:
    
    <%
    response.write(now())
    %>

    基于文件名

    只要文件名中包含有 .asp .asa .cer .cdx 会优先按照 asp 格式来解析。 eg:Test.asp;.jpg
    
    原理:IIS服务器默认不解析; 号及其后面的内容,相当于截断。
    

     

    基于目录名

    如果目录名以 .asp .asa .cer .cdx 字符串结尾,那么这个目录下的所有文件都会按照 asp 格式去解析。 eg:Test.asp/Test.jpg

     

    IIS 7.0/7.5

    
    IIS7.0/7.5 是对 php 解析时有一个类似 Nginx 的解析漏洞,对任意文件名只要在 URL 后追加上字符串 /任意文件名.php 就会按照 php 的方式去解析。
    
    该漏洞适用于 IIS7.x版本 在Fast-CGI运行模式下。
    
     eg:http://www.test.com/Test/test.txt/xx.php

    IIS PHP文件解析配置

    IIS 如何解析 PHP 文件

    复现

     漏洞修复

    配置 cgi.fix_pathinfo(php.ini为 并重启 php-cgi 程序

     

     

    展开全文
  • IIS中间件渗透总结

    2021-11-17 11:35:45
    IIS中间件渗透总结 简介: IIS(inernet information services)互联网信息服务是 Microsoft 公司提供的可扩展 web 服务器,支持 HTTP、HTTP/2、HTTPS、FTP、FTPS、SMTP 和 NNTP 等。起初用于windows NT系列,随后...

    IIS中间件渗透总结

    简介:

    IIS(inernet information services)互联网信息服务是 Microsoft 公司提供的可扩展 web 服务器,支持 HTTP、HTTP/2、HTTPS、FTP、FTPS、SMTP 和 NNTP 等。起初用于windows NT系列,随后内置在windows 2000、windows XP 和后续版本一起发行。IIS目前只支持 windows 系统,不适用于其它操作系统

    IIS 6.x 安装:

    IIS6.x安装需要 Windows Server 2003的系统

     

    IIS 6.0安装需要插件,自行百度下载

     

    然后下一步即可安装完成

     

     

     

     

    创建网站,并用物理机访问

    以下为 IIS 6.x 攻防详解

    IIS写权限漏洞:

    开启webDAV引起的IIS写权限漏洞(攻击者可以上传文件)

    PUT任意上传漏洞

    改为允许,并开启脚本资源访问和写入

    使用工具已经可以检测出漏洞 

    修改来宾用户权限

     此时创建一个文本文档,输入一句话木马

    <%eval request("123")%>

    使用工具put方式进行上传

    可以看到这里成功通过 PUT 的方法上传了一个含有 asp 一句话的txt文件。之所以不直接上传一个asp一句话木马是因为通常情况下上传txt文本不会出错,但是上传asp就会报错 

     

    为了获取shell,这里可以用MOVE方法将刚刚上传的txt文件修改为asp文件,从而将文本文件变成可执行的脚本文件。MOVE协议不会更改文件内容

    开启IIS的asp解析功能

    使用蚁剑尝试连接 

    修复建议:

    IIS PUT 漏洞完全是因为管理员的一些不当配置导致的,所以修复只需要以下两点:

            关闭WebDAV

            关闭写入权限

    文件解析漏洞:

    IIS文件解析漏洞:*.asp;.xxx像这样畸形(IIS 10.0 8.5 都可能存在,属于PHP版本解析漏洞)的文件

    IIS只会把他当作xxx.asp文件执行不会看分号之后的内容

    IIS目录解析漏洞:以 *.asp 命名的文件夹中的文件都会被当作 asp 文件执行

    IIS文件解析漏洞

    首先创建一个 Ylion.asp 文件

    <%=time()%>

    复制该文件进行重命名并访问

     

     

    IIS 目录解析漏洞:

    该版本默认会将 *.asp/ 目录下的所有文件当成 Asp 解析

    新建两个空的文件夹

    分别复制 1.jpg 1.zip 放入,内容和上面的asp文件内容一致,分别进行访问

     

     

    访问文件夹1下的,依旧是一张图片

    访问文件夹1.asp下的,成功被解析

    这就是IIS的文件解析漏洞

    另外,IIS6.x除了会将扩展名为 .asp 的文件解析为asp之外,默认会将扩展名为 .asa、.cdx、.cer解析为 asp,从网站属性,主目录,配置 可以看出,他们都是调用了 asp.dll 进行的解析:

    修复建议:

    微软认为这个并不算是一个漏洞,也没有推出 IIS6.0 的补丁,因此漏洞需要自己修复,设置权限无 ,不允许新建目录,上传的文件需要经过重命名(时间戳+随机数+ .jpg 等)

     

    IIS 短文件漏洞:

    攻击者可以利用 " ~ " 字符猜解或遍历服务器中的文件名,或对IIS服务器中的 .Net Framework 进行 拒绝服务攻击

    就是存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件

    简介:

    Windows 以 8.3 格式生成与 MS-DOS 兼容的(短)文件名,以允许基于MS-DOS或16位windows的程序访问这些文件。在cmd下输入 "dir /x" 即可看到短文件名效果

     

    IIS短文件名产生:

    当后缀小于4时,短文件名产生需要文件(夹)名前缀字符长度大于等于9位

    当后缀大于等于4时,文件名前缀字符长度即使位1,也会产生短文件名

    目前 IIS 支持短文件名猜测的HTTP方法主要包括:DEBUG、OPTIONS、GET、POST、HEAD、TRACE六种。IIS 8.0 之后的版本只能通过OPTIONS和TRACE方法被猜测成功

    漏洞复现:

    IIS8.0 以下版本需要开启ASP.NET支持,IIS大于等于8.0版本,即使没有安装ASP.NET,通过OPTIONS和TRACE方法也可以猜解成功

    还是找到添加与删除程序,点击添加程序

     

    找到ASP.NET,点击下一步并安装

    在web服务扩展里面,右键刷新

    随便创建个后缀长度为4的文件: 

    远程访问一下:

    远程访问返回404

    访问构造某个不存在的短文件名时,会返回400:

    EXP:(利用工具)

    https://github.com/WebBreacher/tilde_enum

    https://github.com/irsdl/IIS-ShortName-Scanner

    工具使用:

    安装JAVA7

    点击run.bat 输入地址:

    输入对应IP,选择no

    然后一路回车,就爆破出来了

    修复建议:

            从CMD命令关闭NTFS 8.3 文件格式的支持

    windows server 2003:(1代表关闭,0代表开启)

    关闭该功能:

    fsutil behavior set disable8dot3 1

    windows server 2008 R2:

    查询是否开启短文件名功能:fsutil 8dot3name query

    关闭该功能:fsutil 8dot3name set 1

    不同系统关闭命令稍有区别,该功能是默认开启的

            或从修改注册表关闭NTFS 8.3文件格式的支持

    快捷键Win+R打开命令窗口,输入regedit打开注册表窗口

    找到路径:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem

     

    将其中选中的那一项的值设为1,1代表不创建短文件名格式

    注意:

    以上两种方式修改完成后,均需要重启系统生效。

    此方法只能禁止NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除,需要重新复制才会消失

    IIS短文件漏洞局限性:

            如果文件名本身太短也是无法猜解的;

            此漏洞只能确定前6个字符,如果后面的字符太长、包含特殊字符,很难猜解;

            如果文件名前6位带空格,8.3格式的短文件名会补进,和真实文件名不匹配;

            如果文件名前6位带点 "." ,扫描程序会认为是文件而不是文件夹,最终出现误报;

            不支持中文文件名,包括中文文件和中文文件夹。一个中文相当于两个英文字符,故超过4个中文字会产生短文件名,但是IIS不支持中文猜测

    实战用处:

    猜后台

    猜敏感文件,例如备份的rar、zip、.bak、.SQL文件等

    在某种情形下,甚至可以通过短文件名直接下载对应的文件。比如下载备份SQL文件

    CE-CVE-2017-7269

    简介:

    Mcrosoft Windows Server 2003 R2中的Internet信息服务(IIS)6.0中的 WebDAV 服务中的 ScStoragePathFromUrl函数中的缓冲区溢出允许远程攻击者通过以 "If : <http://" 开头的长标执行任意代码 PROPFIND 请求

    影响范围:

    Windows Server 2003 R2上使用IIS6.0并开启 WebDAV扩展。

    漏洞复现:

    EXP:

    IIS_exploit/exploit.py at master · edwardz246003/IIS_exploit · GitHub

    对ip及对应端口进行修改:

     

    任务管理器开启了 calc.exe 进程,因为计算机是网络服务权限打开的,所以我们在桌面上看不见

    需要python2环境

    漏洞修复:

    关闭 WebDAV 服务

    使用相关防护设备

     

    远程代码执行实战运用

    前提条件:

    IIS 6.0 开启 WebDAV

     

    确保开启WebDAV

    exp下载地址:

    GitHub - zcgonvh/cve-2017-7269: fixed msf module for cve-2017-7269

    下载后放入msf中,路径为 /url/share/metasploit-framework/modules/exploits/windows/iis/

    注意文件名中-修改为_,否则无法识别,然后拿到了shell(失败后靶机恢复快照,否则可能之后的攻击无效)

    放入后直接执行:

    use exploit/windows/iis/cve_2017-7269

    set rhosts x.x.x.x

    失败了,检查原因:

     

    默认网站->属性,在IP地址中未分配,可以解释为非默认绑定。该EXP只适用于默认绑定和默认路径的情况才可以提权 

    设置完重启系统

    批量检测工具:

    https://github.com/admintony/Windows-Exploit/tree/master/IIS6_WebDAV_Scanner

    python IIS6_WebDAV_Scanner.py -p 12.txt

    python2环境执行,检测出长度为19

    然后在msf上设置PhysicalPathLength为19

    set PhysicalPathLength 19

    成功拿到低权用户,然后使用pr提权,利用msf上传pr.exe

    upload '/root/Desktop/pr.exe' c:\Windows\system32\inetsrv

    然后进行创建用户

    pr.exe "net user a002 963852 /add"

    添加到管理员组

    pr.exe "net localgroup administrators a002 /add

    IIS 7.x 渗透

    IIS 7.x 安装:

    以安装IIS 7.5 为例:

    首先找到打开或关闭Windows功能界面

    然后选择下列功能点

    点击确定

     

     

     

     

    IIS 7.x解析漏洞:

     

     

    新建png文件,其中写有php语句,直接访问,发现不可以

     

    点击确定,访问路径后面加上 /.php 尝试

     

    成功解析为php文件

    IIS 7.x 版本在 Fast-CGI 运行模式下,在任意文件,例:Ylion.png 加上 /.php ,会将 Ylion.png.php 解析为php文件

    WebDAV在IIS7.5的这里

    修复建议:

    配置cgi.fix_pathinfo(php.ini中)为0并重启php-cgi程序 

    HTTP.SYS远程代码执行(MS15-034):

    IIS的安全脆弱性曾长时间被业内诟病,一旦IIS出现远程执行漏洞威胁将会非常严重。远程代码漏洞威胁将会非常严重。远程执行代码漏洞存在于HTTP协议堆栈中,当HTTP.sys未正确分析经特殊设计的HTTP请求时会导致此漏洞。成功利用此漏洞的攻击者可以在系统账户的上下文中执行任意代码,可以导致IIS服务器所在机器蓝屏或读取其内存中的机密数据。

    影响范围:

    Windows7、Windows server 2008 R2、Windows8、Windows server2012、Windows8.1和Windows server 2012 R2

    漏洞影响版本:

    IIS 7.5、IIS 8.0、IIS 8.5

    复现:

    在Windows7 上安装 IIS 7.5,访问 IIS 7.5

    编辑请求头: Range: bytes=0-18446744073709551615

    增加字段,若返回码状态为416 Requested Range Not Satisfiable,则存在 HTTP.SYS远程代码执行漏洞

     

    修复建议:

    安装修复补丁(KB3042553)

     

    认证绕过漏洞:

    简介:

    Microsof IIS是 Microsoft windows系统默认自带的Web服务器软件,其中默认包含FTP服务。Microsof IIS中存在认证绕过漏洞和源码泄露漏洞,该漏洞源于对用户提供的输入未经正确的验证。攻击者可利用这些漏洞在服务器进程上下文中获取密码保护资源和查看源代码文件的未授权访问,且有助于进一步攻击。

    漏洞影响版本:

    IIS6.0、IIS7.5

    漏洞原因:

    Microsof IIS由于无法正确清理用户提供的输入,容易岀现身份验证绕过漏洞和源代码泄露漏洞。

    主要包括以下三类绕过

            安装了PHP的Microsof IIS6.0身份验证绕过

    IIS/6.0加载受保护(如:admin)目录中的PHP文件需要用户认证信息(用户名和密码访问),如果将“∷$INDEX_ALLOCATION”后缀附加到目录名称后面,存在绕过认证并可能访问管理文件等特殊情况,导致IIS服务器重要信息泄露:

    /admin::$INDEX_ALLOCATION/index.php

            Microsof IIS7.5经典ASP身份验证绕过

    配置了经典ASP和 .NET Framework 4.0的Microsof IIS7.5,通过将:i30:I NDEX_ALLOCATION后缀附加到需要认证的请求目录名称后面,可以绕过经典的ASP文件访问限制

    /admin:$i30:$INDEX_ALLOCATION/index.asp

            Microsof IIS7.5 .NET源代码公开和身份验证绕过

    在配置中安装了PHP的Microsof IIS7.5,存在认证绕过漏洞;

    http://%3CvictimIIS75%3E/admin:$i30:$INDEX_ALLOCATION/admin.php

    漏洞复现:

    在window7下,默认IIS7.5

    IIS网站根目录下创建admin用户目录,关闭默认用户认证,换言之,访问 /admin/index.php 目录下的文件需要认证信息,认证失败或者无认证信息将会返回401未授权页面

     

    重启IIS服务器,远程访问此文件,提示401未授权

    利用

    /admin:$i30:$INDEX_ALLOCATION/index.asp 

    来绕过此限制,浏览器访问:

    http://x.x.x.x:8980/admin:$i30:$INDEX_ALLOCATION/index.php

    可以成功绕过并访问到敏感信息

    解析漏洞+认证绕过漏洞:

    目标站点限制上传和访问php文件

    可以利用上传aspx(.net支持解析的文件类型)文件逃避限制,将其当做php代码执行

    网站目录下有一个 index.aspx的文件,里面写有php代码

    认证漏洞绕过访问 index.aspx文件,页面返回乱码,未执行 phpinfo代码!

    http://IP/a001:$i30:$INDEX_ALLOCATION/index.aspx

    这里我们再加上解析漏洞

    http://IP/a001:$i30:$INDEX_ALLOCATION/index.aspx/.php

    成功执行

    利用方法:

    安装php的IIS6.0,例:访问目标/admin/index.php 显示401,访问

    /admin:$i30:$INDEX_ALLOCATION/index.php 
    

    便可成功 

    IIS 7.5 :同上

    可以绕过并访问到敏感信息

    修复意见:

    IIS7.5 配置 .NET Framework 2.0 不受上述第二条绕过影响

    攻击者需要事先获取IIS服务器受认证保护目录

    展开全文
  • Apache/IIS/Nginx中间件解析漏洞

    千次阅读 2021-12-07 14:10:04
    使用iis5.x-6.x版本的服务器大多为windows server 2003,由于网站比较古老,开发语句一般为asp,该解析漏洞只能解析asp文件,而不能解析aspx文件,得安装.net框架 目录解析(6.0) 形式:...
  • iis服务器日志查看

    2021-08-08 04:01:47
    iis服务器日志查看 内容精选换一换根据本地历史数据备份策略,集群的审计日志需要转储到第三方服务器上。系统每天零晨3点开始周期性检测转储服务器,如果转储服务器满足配置条件,审计日志可以成功转储。审计日志...
  • 操作系统安全规范之Windows Server

    千次阅读 2020-07-30 21:49:58
    “gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\帐户策略\密码策略”。 “密码长度最小值”,建议8或12。 “密码必须符合复杂性要求”,配置为“已启用”,要求复杂...
  • 中间件漏洞总结

    千次阅读 2021-07-26 20:36:47
    什么是中间件 中间件(英语:Middleware)是提供系统软件和应用软件之间连接的软件,以便于软件各部件之间的沟通。中间件处在操作系统和更高一级应用程序之间。他充当的功能是:将应用程序运行环境与操作系统隔离,...
  • 中间件系统检查

    千次阅读 2008-09-25 16:11:00
    中间件系统检查1.日志检查清理。检查Tuxedo日志,用vi命令查看日志文件内容,检查有无Tuxedo系统出错记录;检查有无服务异常错误记录;检查有无服务被重起记录;对发现的异常记录进行分析;若无异常情况清除无用的...
  • 一、入门 1、启动HttpPrinter 双击 HttpPrinter_latest/HttpPrinter.exe 即可启动 2、怎样调用 在 调用实例 文件夹下 有各种调用demo 我们常用的 web打印 在 js 目录下 ...token列表的查看步骤: 系...
  • IIS7.x漏洞原理和复现

    2021-04-22 15:15:11
    2)打开或关闭Windows功能 3)选择相关要打开的功能 点击确认等待几分钟即可 4)在开始出搜索iis,打开IIS Manager 5)在浏览器访问127.0.0.1显示下面页面表示安装成功 安装小皮 phpstudy 小皮是结合上面IIS7...
  • 并且在Windows查看对应的短文件名,可以使用命令 dir /x。此漏洞实际是由HTTP请求中旧DOS 8.3名称的代字符(〜)波浪号引起的。它允许远程攻击者在Web根目录下公开文件或文件夹名称,这通常是不应该被访问到的。攻击...
  • IIS短文件漏洞

    2020-09-29 10:51:39
    来源地址:https://www.freebuf.com/articles/web/172561.html 一、 什么是IIS Internet Information Services(IIS,以前称为Internet ...起初用于Windows NT系列,随后内置在Windows 2000、Windows XP Profes
  • Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。 Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络 服务器根目录中的...
  • IIS解析漏洞

    2020-07-05 22:50:09
    Internet Information Services(互联网信息服务),由微软公司提供的基于运行Microsoft Windows的互联网基本服务 中间件 是介于应用系统和系统软件之间的一类软件,它使用系统软件所提供的基础服务(功能
  • 离线ROS API文档(Zeal或Dash)

    万次阅读 2017-11-08 10:07:29
    通常而言,通过ROS进行机器人开发设计,需要查阅C++或Python等文档,也需要...软件安装成功后,打开界面如下,windows和Linux基本完全一样:在Edit--Preferences中,可以配置如下一些内容:在Tools--Docsets中,可以
  • PHP开发用哪种框架

    2021-03-25 08:46:33
    优势: 1、支持Composer 2、框架结构比较清晰,注重代码的模块化(抽象了中间件,任务,服务等)和可扩展性,路由系统快速高效 3、支持处理跨站请求伪造,在进行form表单post提交时,必须传入{{ csrf_field() }} 4、...
  • 更适用于移动应用: 当你的客户端是一个原生平台(iOS, Android,Windows 8等)时,Cookie是不被支持的(你需要通过Cookie容器进行处理),这时采用Token认证机制就会简单得多。 CSRF:因为不再依赖于Cookie,所以你...
  • 中间件:IIS6.0 攻击工具:metasploit POC:CVE2017-7269.rb 靶机IP:192.168.1.175 攻击机IP:192.168.1.195 本地漏洞复现过程,安装windows server 2003 r2 开启IIS服务 利用poc: require '
  • 该网站服务器为Windows2003系统,中间件ISS6.0,网站语言为ASP 排查过程 基于网站的系统信息,初步判断网站存在较为严重的漏洞 登录服务器,查看webshell和篡改的信息 查看账户信息,发现hack1添加多个管理员账户 ...
  • 注意:在以默认设置全新安装的带有 IIS 6.0 的 Microsoft Windows Server 2003 中,Users 组和 Everyone 组都拥有“跳过遍历检查”权限。工作进程标识通过这两个组当中的一个继承“跳过遍历检查”权限。如果从“跳过...
  • 注意将ISS 重启总结 前言 .Net Core 5.0的项目发布到阿里云服务器上,过程中我遇到的很多的坑,看是因为我太菜了,所以写这篇文章的理由是希望帮大家避坑 下面是成功发布的步骤 一、.Net Core 5.0部署IIS和传统的...
  • SQL注入之——Mysql+PHP手工获取webshell

    千次阅读 2020-04-04 16:15:06
    (5)通过(iss apache等中间件)配置文件找网站路径 在百度里面输入***配置文件,如:IIS6.0 配置文件,可以找到: C:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml 和 C:\WINDOWS\system32\inetsrv\MetaBase.bin ...
  • new Claim(JwtRegisteredClaimNames.Iss,iss), new Claim(JwtRegisteredClaimNames.Aud,aud), //new Claim(ClaimTypes.Role,tokenModel.Role),//为了解决一个用户多个角色(比如:Admin,System),用下边的...
  • node.js自学基础笔记

    千次阅读 2022-03-23 22:12:17
    \Users\强天尊> 终端快捷键 cd +文件路径可以切换到其他文件的所处路径 便捷快速进入文件所处的目录 在文件空白按住shift 鼠标右键 找到Windows PowerShell 就可以打开直接输入node 加文件名就可以运行js文件 这个...
  • HTTP状态代码及其含义

    2022-04-17 17:07:02
    6)Windows xp2 与ISS组件不兼容,则有可能导致HTTP500错误。对ISS组件进行调整后问题解决。 7)系统开发程序写的有问题,则报HTTP500错误。例如有些指针问题没有处理好的,有空指针情况的存在。修改程序后问题解决...
  • loadrunner常见报错和解决办法

    千次阅读 2020-06-08 10:58:57
    6、Windows xp2 与ISS组件不兼容,则有可能导致HTTP500错误。对ISS组件进行调整后问题解决。 7、系统开发程序写的有问题,则报HTTP500错误。例如有些指针问题没有处理好的,有空指针情况的存在。修改程序后问题解决...
  • 6、Windows xp2 与ISS组件不兼容,则有可能导致HTTP500错误。对ISS组件进行调整后问题解决。 7、系统开发程序写的有问题,则报HTTP500错误。例如有些指针问题没有处理好的,有空指针情况的存在。修改程序后问题解决...
  • 6、Windows xp2 与ISS组件不兼容,则有可能导致HTTP500错误。对ISS组件进行调整后问题解决。 7、系统开发程序写的有问题,则报HTTP500错误。例如有些指针问题没有处理好的,有空指针情况的存在。修改程序后问题...
  • 万网 可以查看域名是否被注册、被谁注册了 什么是二级域名多级域名 www.baidu.com 这里www就是二级域名 域名发现对于安全测试的意义 渗透的大部分目标是主站,可以通过分站突破(分站可能和主站解析的ip地址...

空空如也

空空如也

1 2 3 4 5 ... 11
收藏数 216
精华内容 86
关键字:

windows如何查看iss中间件